外部の信頼できるRootCA証明書および分散クライアント証明書の作成
2つのデプロイメントで分散パスと受信パスを証跡データ転送に接続する必要がある特定のシナリオでは、分散クライアント(distclient)証明書を使用して分散クライアント・ユーザーを検証するために、外部RootCA証明書を使用することを決定できます。分散クライアント証明書はターゲット・デプロイメントに格納され、分散クライアント・ユーザー(オペレータ・ロール)がソース・デプロイメントに作成されます。このユーザーの検証タイプは「証明書」に設定されます。
このような場合は、外部rootCA証明書と分散クライアント証明書を作成する必要があります。この項では、これらの証明書を生成するためのOpenSSLコマンドについて説明します。
ターゲット・デプロイメントでのRootCA外部証明書の作成
次のステップを使用して、ソース・デプロイメントとは異なるターゲット・デプロイメントのルートCA外部証明書(rootCA_ext)を作成および管理します。
rootCA_ext.cfg構成ファイルのサンプルを次に示します。[ req ]
default_bits = 4096
default_md = sha512
prompt = no
encrypt_key = no
distinguished_name = req_distinguished_name
req_extensions = v3_req
x509_extensions = v3_ca
x509_extensions = usr_cert
[ req_distinguished_name ]
#countryName = "US"
#stateOrProvinceName = "CA"
#localityName = "Redwood City"
#streetAddress = "400 Oracle Pkwy"
#organizationName = "Oracle USA Inc"
#organizationalUnitName = "Security"
commonName = "rootCA_ext"
#emailAddress = "rootsecurity@oracle.com"
[ v3_req ]
basicConstraints=CA:TRUE
[ v3_ca ]
basicConstraints=CA:TRUE
[ usr_cert ]
basicConstraints=CA:TRUE
[ my_extensions ]rootCA外部証明書を生成するコマンドは次のとおりです:
openssl req -subj "/CN=RootCA_ext" \
-newkey rsa:2048 -nodes \
-keyout rootCA_ext_key.pem \
-new -x509 \
-days 365 \
-out rootCA_ext_cert.pem分散クライアント証明書の作成
クライアント証明書を生成するコマンドは、次のようになります:
extendedKeyUsage = clientAuth
openssl req -subj "/CN=distclient" \
-newkey rsa:2048 -nodes \
-keyout distclient_key.pem \
-new \
-out distclient.csr
このdistclient証明書は、次のコマンドを使用してrootCA_ext証明書によって検証されます。
openssl x509 -CAcreateserial \
-CA rootCA_cert.pem \
-CAkey rootCA_key.pem \
-req \
-in distclient.csr \
-extfile distclient_cert.cnf \
-days 365 \
-out distclient_cert.pemdistclient証明書と秘密キーが生成されます。どちらのファイルもPrivacy Enhanced Mail (PEM)に格納され、秘密キーは公開キー暗号化標準(PKCS) #8形式で作成されます。